Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Veeam ha lanzado parches para corregir una vulnerabilidad crítica en su software de backup, la cual podría permitir a un atacante ejecutar código arbitrario en sistemas vulnerables.
Esta falla, identificada como CVE-2025-23114, posee una puntuación CVSS de 9.0 sobre 10.0, lo que resalta su gravedad. La vulnerabilidad reside en el componente Veeam Updater, donde un atacante con capacidades de Man-in-the-Middle (MitM) podría interceptar y manipular la comunicación para ejecutar código malicioso en el servidor afectado.
Recursos afectados
- Veeam Backup para Salesforce: 3.1 y versiones anteriores
- Veeam Backup for Nutanix AHV — 5.0 | 5.1 (las versiones 6 y posteriores no se ven afectadas por la falla)
- Veeam Backup for AWS — 6a | 7 (la versión 8 no se ve afectada por la falla)
- Veeam Backup para Microsoft Azure: 5a | 6 (la versión 7 no se ve afectada por la falla)
- Veeam Backup for Google Cloud — 4 | 5 (la versión 6 no se ve afectada por la falla)
- Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization — 3 | 4.0 | 4.1 (las versiones 5 y posteriores no se ven afectadas por la falla).
Solución
- Veeam para Salesforce: La vulnerabilidad se resolvió en la versión 7.9.0.1124 del componente Veeam Updater.
- Veeam Backup for Nutanix AHV: La vulnerabilidad se resolvió en la versión 9.0.0.1125 del componente Veeam Updater.
- Veeam Backup for AWS: La vulnerabilidad se resolvió en la versión 9.0.0.1126 del componente Veeam Updater.
- Veeam Backup para Microsoft Azure: La vulnerabilidad se resolvió en la versión 9.0.0.1128 del componente Veeam Updater.
- Veeam para Google Cloud: La vulnerabilidad se resolvió en la versión 9.0.0.1128 del componente Veeam Updater.
- Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization: La vulnerabilidad se resolvió en la versión 9.0.0.1127 del componente Veeam Updater.
Recomendaciones
- Actualizar los productos afectados a una versión que mitigue la vulnerabilidad.
- Realizar análisis de seguridad para detectar posibles compromisos en la red.